PıM 'de Azure kaynağı ve Azure AD rolleri için erişim gözden geçirmesi oluşturma

Ayrıcalıklı Azure kaynağına ve Azure AD rollerine erişim gereksinimi, çalışanlar zaman içinde değişir. Eski rol atamalarıyla ilişkili riski azaltmak için, erişimi düzenli olarak gözden geçirmeniz gerekir. azure kaynağına ve azure ad rollerine ayrıcalıklı erişim için erişim incelemeleri oluşturmak üzere Azure Active Directory (azure AD) Privileged Identity Management (pım) kullanabilirsiniz. Ayrıca, otomatik olarak gerçekleşen yinelenen erişim incelemelerini yapılandırabilirsiniz. Bu makalede bir veya daha fazla erişim incelemesi oluşturma açıklanır.

Önkoşullar

bu özelliğin kullanılması için Azure AD Premium P2 lisansı gerekir. Gereksinimleriniz için doğru lisans bulmak için bkz. Azure AD 'nin genel kullanıma sunulan özelliklerini karşılaştırma. PıM lisansları hakkında daha fazla bilgi için Privileged Identity Management kullanmak üzere lisans gereksinimlerinebakın.

Azure kaynakları için erişim gözden geçirmeleri oluşturmak üzere Azure kaynakları için sahibine veya Kullanıcı erişimi Yöneticisi rolüne atanmalısınız. Azure AD rollerine yönelik erişim gözden geçirmeleri oluşturmak için, genel yöneticiye veya ayrıcalıklı rol yöneticisi rolüne atanmalısınız.

Not

genel önizlemede, kiracınızda etkin bir Azure Active Directory Premium P2 sürümü olan azure AD ve azure kaynak rollerine erişimi olan hizmet sorumlularına yönelik bir erişim incelemesi tanımlayabilirsiniz. Genel kullanılabilirlik sonrasında ek lisanslar gerekebilir.

Erişim incelemeleri oluşturma

  1. Önkoşul rollerinin birine atanan bir kullanıcı olarak Azure Portal oturum açın.

  2. Identity idareseçin.

  3. azure ad rolleriiçin Privileged Identity Managementaltında azure ad rolleri ' ni seçin. azure kaynaklarıiçin Privileged Identity Managementaltında azure kaynakları ' nı seçin.

    Select Identity Governance in Azure Portal screenshot.

  4. Azure AD rolleriiçin Yönetaltında Azure AD rolleri ' ni yeniden seçin. Azure kaynaklarıiçin, yönetmek istediğiniz aboneliği seçin.

  5. Yönet ' in altında, erişim gözden geçirmeleri' nı seçin ve yeni ' yi seçerek yeni bir erişim incelemesi oluşturun.

    Azure AD roles - Access reviews list showing the status of all reviews screenshot.

  6. Erişim gözden geçirmesini adlandırın. İsteğe bağlı olarak, incelemeye bir açıklama verin. Ad ve açıklama gözden geçirenlere gösterilir.

    Create an access review - Review name and description screenshot.

  7. Başlangıç tarihiniayarlayın. Varsayılan olarak, bir erişim gözden geçirmesi bir kez gerçekleşir, oluşturulduğu zaman başlatılır ve bir ayda sonlanır. Başlangıç ve bitiş tarihlerini, gelecekte bir erişim incelemesi başlatacak şekilde ve son olarak istediğiniz sayıda güne dönüştürebilirsiniz.

    Start date, frequency, duration, end, number of times, and end date screenshot.

  8. Erişim gözden geçirmesini yinelenen hale getirmek için Sıklık ayarını bir saattenhaftalık, aylık, üç aylık, yıllıkveya yarı yıllıkolarak değiştirin. Her bir yinelenen serinin gözden geçiricilerin giriş için kaç gün sonra açık olacağını tanımlamak için süre kaydırıcısını veya metin kutusunu kullanın. Örneğin, aylık bir gözden geçirme için ayarlayabileceğiniz en uzun süre, çakışan incelemelerden kaçınmak için 27 gün olabilir.

  9. Yinelenen erişim gözden geçirme serisinin nasıl sonlandıralınacağını belirtmek için bitiş ayarını kullanın. Seriler üç şekilde bitemez: sürekli olarak gözden geçirmeler başlatacak şekilde, belirli bir tarihe kadar veya tanımlanan sayıda oluşumdan sonra sürekli olarak çalışır. siz veya incelemeleri yönetebilen başka bir yönetici, Ayarlartarihi değiştirerek, bu tarihte sona erecek şekilde serileri durdurabilir.

  10. Kullanıcılar kapsamı bölümünde, gözden geçirme kapsamını seçin. Azure AD rolleriiçin ilk kapsam seçeneği kullanıcılar ve gruplarıdır. Doğrudan atanan kullanıcılar ve rol atanabilir gruplar bu seçime dahil edilir. Azure Kaynak rolleriiçin Ilk kapsam Kullanıcı olacaktır. Azure Kaynak rollerine atanan gruplar, bu seçimle gözden geçirmekte olan geçişli kullanıcı atamalarını görüntüleyecek şekilde genişletilir. Ayrıca, Azure kaynağına veya Azure AD rolüne doğrudan erişim ile makine hesaplarını gözden geçirmek için hizmet sorumlularını seçebilirsiniz.

    Users scope to review role membership of screenshot.

  11. Rol üyeliğini gözden geçiraltında, gözden geçirmek Için ayrıcalıklı Azure kaynağı veya Azure AD rolleri ' ni seçin.

    Not

    Birden fazla rol seçilmesi birden çok erişim incelemesi oluşturacaktır. Örneğin beş rol seçilmesi beş ayrı erişim incelemesi oluşturacaktır.

    Review role memberships screenshot.

  12. Atama türü' nde, sorumlunun role atanma şekli ile kapsamını inceleyin. Uygun atamaları yalnızca uygun atamaları gözden geçirmek için (gözden geçirme oluşturulduğunda etkinleştirme durumundan bağımsız olarak) veya etkin atamaları yalnızca etkin atamaları gözden geçirmek için seçin. Türünden bağımsız olarak tüm atamaları gözden geçirmek için etkin ve uygun atamalar ' ı seçin.

    Reviewers list of assignment types screenshot.

  13. Gözden geçirenler bölümünde, tüm kullanıcıları gözden geçirmek için bir veya daha fazla kişi seçin. Ya da üyelerin kendi erişimini incelemesini seçebilirsiniz.

    Reviewers list of selected users or members (self)

    • Seçili kullanıcılar -bu seçeneği, gözden geçirmeyi tamamlayacak belirli bir kullanıcıyı belirlemek için kullanın. Bu seçenek, gözden geçirme kapsamlarından bağımsız olarak kullanılabilir ve seçili gözden geçirenler Kullanıcı, Grup ve hizmet sorumlularını gözden geçirebilir.
    • Üyeler (self) -bu seçeneği, kullanıcıların kendi rol atamalarını gözden geçirmesini sağlamak için kullanın. Bu seçenek yalnızca, gözden geçirme kullanıcıların ve grupların veya kullanıcılarınkapsamına eklendiğinde kullanılabilir. Azure AD rolleriiçin, rol atanabilir gruplar, bu seçenek belirlendiğinde gözden geçirime bir parçası olmayacaktır.
    • Yönetici – Kullanıcı yöneticisinin rol atamasını gözden geçirmesini sağlamak için bu seçeneği kullanın. Bu seçenek yalnızca, gözden geçirme kullanıcıların ve grupların veya kullanıcılarınkapsamına eklendiğinde kullanılabilir. Yönetici ' yi seçtikten sonra, bir geri dönüş gözden geçireni belirtme seçeneğine de sahip olursunuz. Kullanıcı, dizinde hiçbir yönetici belirtilmediğinde, geri dönüş gözden geçiricilerin Kullanıcı tarafından incelenmesi istenir. Azure AD rolleriiçin, rol atanabilir gruplar seçili olduğunda geri dönüş gözden geçireni tarafından incelenmeyecektir.

Tamamlama ayarlarından sonra

  1. Bir gözden geçirme tamamlandıktan sonra ne olacağını belirtmek için Tamamlama Ayarları bölümüne bakın.

    Upon completion settings to auto apply and should review not respond screenshot.

  2. Reddedilen kullanıcılar için erişimi otomatik olarak kaldırmak istiyorsanız, etkinleştirileceksonuçları kaynağa otomatik uygula ' yı ayarlayın. Gözden geçirme tamamlandığında sonuçları el ile uygulamak istiyorsanız, anahtarı devre dışıolarak ayarlayın.

  3. Gözden geçiren tarafından gözden geçirilmemiş kullanıcılar için İnceleme dönemi içinde gözden geçiren tarafından gözden geçirilmeyen kullanıcılara ne olacağını belirtmek için Bu ayar, gözden geçirenler tarafından gözden geçirilen kullanıcıları etkilemez.

    • Değişiklik yok -kullanıcının erişimini değiştirmeden bırak
    • Erişimi kaldır -kullanıcının erişimini kaldır
    • Erişimi onayla -kullanıcının erişimini Onayla
    • Öneriler alın -kullanıcının devam eden erişimini reddetme veya onaylama konusunda sistemin önerisini alın
  4. Engellenen Konuk kullanıcılar için ne olacağını belirtmek üzere, Engellenen Konuk kullanıcılar listesini uygulamak için bu eylemi kullanın. Bu ayar şu anda Azure AD ve Azure Kaynak rolü incelemeleri için düzenlenebilir değildir; tüm kullanıcılar gibi Konuk kullanıcılar, reddedilirse kaynağa her zaman erişimi kaybeder.

    Upon completion settings - Action to apply on denied guest users screenshot.

  5. Gözden geçirme tamamlanma güncelleştirmelerini almak için ek kullanıcılara veya gruplara bildirim gönderebilirsiniz. Bu özellik gözden geçirme sırasında İnceleme oluşturucusunun dışındaki paydaşların gözden geçirilmesini sağlar. Bu özelliği kullanmak için, Kullanıcı veya Grup Seç ' i seçin ve tamamlanma durumunu almak istediğiniz ek kullanıcı veya grup ekleyin.

    Upon completion settings - Add additional users to receive notifications screenshot.

Gelişmiş ayarlar

  1. Ek ayarları belirtmek için Gelişmiş ayarlar bölümünü genişletin.

    Advanced settings for show recommendations, require reason on approval, mail notifications, and reminders screenshot.

  2. Kullanıcının erişim bilgilerini temel alarak sistem önerilerini gözden geçirenlere göstermek üzere etkinleştirilecekönerileri göster ' i ayarlayın.

  3. Gözden geçirenin onay için bir neden vermesini gerektirmesini sağlamak için onay için bir neden gerektir ' i ayarlayın.

  4. Bir erişim incelemesi başladığında ve bir gözden geçirme tamamlandığında yöneticilere, Azure ad 'nin gözden geçirenlere e-posta bildirimleri göndermesini sağlamak için posta bildirimleri ayarlayın.

  5. Azure AD 'nin, gözden geçirenleri tamamlamadıkları gözden geçirenler için sürmekte olan erişim gözden geçirmeleri gönderme anımsatıcıları sağlamak üzereanımsatıcıları ayarlayın.

  6. Gözden geçirenlere gönderilen e-postanın içeriği İnceleme adı, kaynak adı, son tarih vb. gözden geçirme ayrıntılarına göre otomatik olarak oluşturulur. Ek yönergeler veya iletişim bilgileri gibi ek bilgilere iletişim kurmak için bir yönteme ihtiyacınız varsa, bu ayrıntıları Gözden geçiren Için ek içerikte , davet ve anımsatıcı e-postalarına gönderilen gözden geçirenler e-postalarına dahil edilecek şekilde belirtebilirsiniz. Aşağıdaki Vurgulanan bölümde bu bilgilerin görüntüleneceği yer verilmiştir.

    Content of the email sent to reviewers with highlights

Erişim gözden geçirmesini yönetme

Gözden geçirenler, erişim incelemesinin genel bakış sayfasında İncelemeleri tamamlamalarını izleyerek ilerlemeyi izleyebilirsiniz. İnceleme tamamlanana kadar dizinde erişim hakkı değiştirilmez. Aşağıda, Azure kaynakları ve Azure AD rolleri erişim gözden geçirmeleri için genel bakış sayfasını gösteren bir ekran görüntüsü verilmiştir.

Access reviews overview page showing the details of the access review for Azure AD roles screenshot.

Bu bir kerelik bir gözden geçirime sahip ise, erişim gözden geçirme süresi dolduktan sonra veya yönetici erişim gözden geçirmesini durdurduktan sonra, sonuçları görmek ve uygulamak için Azure kaynağı ve Azure AD rollerinin erişim Incelemesini tamamlayın ' daki adımları izleyin.

Bir dizi erişim incelemesini yönetmek için, erişim gözden geçirmelerine gidin ve zamanlanan incelemelerde yaklaşan örnekleri bulacaksınız ve son tarihi düzenleyin ya da gözden geçirenleri buna uygun olarak ekleyin/kaldırın.

Tamamlanma ayarları sırasındayaptığınız seçimlere bağlı olarak, otomatik uygulama İnceleme bitiş tarihinden sonra veya gözden geçirmeyi el ile durdurduğunuzda yürütülür. İncelemesinin durumu, uygulama ve son durum uygulandıgibi ara durumlar aracılığıyla tamamlandı olarak değişir. Birkaç dakika içinde rollerden kaldırılan reddedilen kullanıcıları görmeyi beklemelisiniz.

Önemli

Bir grup Azure Kaynak rollerineatanmışsa, Azure Kaynak rolü gözden geçireni, iç içe geçmiş bir grup aracılığıyla atanan erişimi olan dolaylı kullanıcıların genişletilmiş listesini görür. Gözden geçiren, iç içe geçmiş bir grubun bir üyesini reddetmesi durumunda, Kullanıcı iç içe gruptan kaldırılacağından, bu reddetme sonucu rol için başarıyla uygulanmaz. Azure AD rolleriiçin rol atanabilir gruplar , grubun üyelerini genişletmek yerine gözden geçirme içinde görünür ve gözden geçiren tüm gruba erişimi onaylar veya reddeder.

Erişim gözden geçirmesini güncelleştirme

Bir veya daha fazla erişim incelemesi başlatıldıktan sonra, mevcut erişim incelemelerinizin ayarlarını değiştirmek veya güncelleştirmek isteyebilirsiniz. Dikkate almak istediğiniz bazı yaygın senaryolar şu şekildedir:

  • Gözden geçirenleri ekleme ve kaldırma - Erişim gözden geçirenlerini güncelleştiriyorsanız, birincil gözden geçirene ek olarak bir geri dönüş gözden geçireni eklemeyi seçebilirsiniz. Erişim gözden geçirmesi güncelleştirilken birincil gözden geçirenler kaldırılabilir. Ancak, geri dönüş gözden geçirenleri tasarıma göre çıkarılabilir değildir.

    Not

    Geri dönüş gözden geçirenleri yalnızca gözden geçiren türü yönetici olduğunda eklenebilir. Gözden geçiren türü seçili kullanıcı olduğunda birincil gözden geçirenler eklenebilir.

  • Gözden geçirenlere anımsatma - Erişim gözden geçiricilerini güncelleştiriyorsanız Gelişmiş Erişim Gözden Geçirenler'in altında anımsatıcı seçeneğini Ayarlar. Etkinleştirildikten sonra, gözden geçirmeyi tamamlamış olup olmadığına bakılmaksızın kullanıcılar, gözden geçirme döneminin ortasında bir e-posta bildirimi alır.

    Screenshot of the reminder option under access reviews settings.

  • Ayarları güncelleştirme - Erişim gözden geçirmesi yinelenen bir durumsa " Geçerli" altında ve "Seriler" altında ayrı ayarlar vardır. "Geçerli" altındaki ayarları güncelleştirmek yalnızca geçerli erişim gözden geçirmesinde değişiklikler geçerli erişim gözden geçirmesinde uygulanır. "Seriler" altındaki ayarlar güncelleştirilirken, gelecek tüm yinelemeler için ayar güncelleştirmesi yapılır.

    Screenshot of the settings page under access reviews.

Sonraki adımlar